整理在我们充满专业术语的行业.docx

1、整理在我们充满专业术语的行业在我们充满专业术语的行业，清除你的周围充满的无线攻击，以及它们潜在的商业影响非常困难。本条技巧中提供了预防对802.11和802.1X攻击的相关列表，列表中按照威胁的类型分类，并列出了相关的攻击方法和工具，这样我们就理清了混乱无序的情况。访问控制攻击这些攻击使用无线或者规避无线局域网访问控制方法，比如AP MAC过滤器和802.1X端口访问控制，进而试图穿透网络。机密性攻击这些攻击试图截取无线组织发送的私人信息，不论是通过802.11还是高层协议，以明文还是加密形式发送的信息。完整性攻击这些攻击通过无线发送伪造的控制、管理或者数据帧，误导接受者或者推动其它类型的攻击

2、（比如，拒绝服务攻击）。无线攻击的基本知识（一）认证攻击入侵者使用这些攻击，窃取合法用户的身份和证书，进而访问其它私密网络和服务。有效性攻击这些攻击采用拒绝合法用户的访问无线局域网资源或者削弱那些资源的方法，从而阻止把无线服务传递给合法的用户。注意：许多这些工具都可以在Auditor Security Collection中找到，Auditor Security Collection是一个以KNOPPIX为基础的工具包，目的是为了在渗透测试和漏洞评估中使用。无线攻击的基本知识（二）漏洞评估可以帮助你在攻击者利用前，找到并修复WLAN漏洞。但是从哪里开始呢？应该查找什么呢？如何涵盖所有的位置呢？

3、在这份清单中，TechTarget中国的特约专家将帮助你回答这些问题。1发现临近的无线设备如果你知道有什么设备，就不能评估WLAN漏洞。从搜索办公室内外的无线设备开始，创建后续步骤的基础。 那一个通道拥有2.4 GHz带宽的活跃流量？ 那一个通道拥有2.4 GHz带宽的活跃流量？ 在这些频段中，有没有非802.11界面的资源呢？对每一个已知的802.11访问端点，记录： 媒体访问控制（MAC）地址 扩展服务集标识符（ESSID） 通道 平均/最高信噪比(SNR)对每一个一发现的802.11工作站，记录： MAC地址 关联ESSID 关联接入点或者同等的工作站 平均/最高SNR 如果可见，802

4、.1X身份 大约位置和可能的持有人2调查欺骗性攻击设备对于非-802.11的干扰资源（例如，微波炉、蓝牙和无线电话），光谱分析器可以帮助采集资源痕迹。对于802.11设备，把调查结果和你已有的详细目录作对比，分离出需要深入调查的未知设备。注意在带宽和通道中查找通常不使用的活动可以帮助你发现试图逃避检测的设备。为了更多地了解如何调查这些“欺骗”设备和他们对你的WLAN产生的风险，请阅读相关的技巧捕获欺骗性威胁的秘诀。3测试你自己的访问端点下一步，把你的注意力转移到你自己的WLAN资源，从向用户发送无线服务的接入点开始。这些接入点位于包含受信合不受信的设备的网络上。同样的，他们也应该通过对面向互联

5、网的边界防火墙和访问路由器的渗透测试。关于每个接入点，你应该回答如下问题： 接入点运行的是最新的固件和安全补丁吗？ 出厂默认ESSID已经更改了吗？ 默认管理员登录/密码已经更改了吗？ 管理员密码是不是容易被破解？ 有没有强大的认证选择（例如，隐私密钥）？ 有没有开放不必要的端口（例如，Telnet、HTTP、SNMP、TFTP） 这些开放端口容易受到攻击吗？ 有没有加密管理界面（例如，SSH、HTTPS）？ 是否激活了安全警告和日之（例如，系统日志（sylogs）、traps）？ 有没有使用过滤器阻止通过接入点传播到有线网络中的未认证的协议（例如ARP、RIP、SNMP、NetBIOS）？

6、有没有（使用）过滤器阻止用户到用户的无线？ 接入点使用合适的ESSID和通道了吗？ 安全参数和拒绝策略一致吗？ 如果接入点使用WEP，破解密钥需要多长时间？ 接入点发布已知的漏洞初始化厂商（IV）了吗？ 如果接入点使用预共享密钥（PSK），容易破解吗？ 如果接入点没有使用WPA2，可以获得WPA2更新吗？ 接入点可以抵挡模拟802.11拒绝服务攻击吗（例如，认证洪流）？4.测试你自己的工作站有些工作站在你调查时可能没有活动，所以确保你的资产详细目录上的每一个802.11-功能设备都检查了，包括笔记本电脑、桌面电脑、PDA、VoIP手机、打印机、扫描器和耳机或听筒。你可能想要“ping扫描”无线

7、子网，来确定逃过早期检查的秘密设备的位置。然后，回答关于你的每一个无线工作站的下列问题： 工作站是否运行了最新的操作系统和应用安全补丁？ 是否使用了引导程序或者操作系统认证阻止丢失/被窃/无意使用？ 目前的杀毒程序和反间谍软件程序运行了吗？ 无线界面有没有被个人防火墙保护？ 有没有开放不需要的端口（例如netbios-ns/ssn、 microsoft-ds、 ssdp）？ 有没有通往无线的不必要的协议（例如文件/打印机共享）？ 有没有把可能的无线入侵（例如，以阻止的会话）计入日志？ 无线客户是否和ANY网络相关联？ANY特别吗？ 用户自动使用家庭或者热点SSID再聚焦了吗？ 磁盘上保留了无线

8、用户的信任状（例如，密码）了吗？ 工作站扫描了合适的带宽并使用了合适的ESSID了吗？ 安全参数和定义的策略一致吗？ 工作站发布已知的漏洞IV了吗？ 如果工作站使用802.1X，它的认证可见吗？ 如果使用802.1X，检查服务器的证书了吗？ 如果不使用WPA2，可以获得WPA2更新吗？ 如果在无线上使用VPN客户端，配置合适吗？5测试你的WLAM架构最后，评估无线子网中的所有网络架构设备的安全性，包括无线交换机、防火墙、VPN网关、DNS服务器、DHCP服务器、RADIUS服务器、运行被俘入口登录页的Web服务器和管理以太网的交换机。和接入点一样，所有的这些设备应该通过相同的通常运行面向互联网

9、的服务器的渗透测试。例如，被俘入口应该通过通常运行DMZ Web服务器的测试。包括按照设计评估对需要补丁的已知漏洞的程序/版本的测试。大部分的架构测试都不是为无线特定的，但是附加的测试可能适合802.1X架构。例如，你可能希望测试RADIUS服务器的功能来温和的拒绝错误格式的EAP信息，包括有害EAP长度和深度。6采用测试结果市场价格在有些情况下（如对市场物品）可以近似地衡量物品的价值，但不能准确度量一个物品的价值。三者的关系为：很不幸，没有可以帮助你进行最后的一步的清单。现在应该回顾一下测试结果，并评估你可能没发现的漏洞。排除可能的漏洞，并降低可能利用其他漏洞的机会。例如，如果你在接入点上发

10、现了远程登录，决定是否停止服务，以及如何停止。你可以使用SSH代替远程登录来管理接入点吗？你可以把SSH限制到以太网上使无线收发邮件的后台程序不被检测到吗？一旦你使用了修复，重复测试来验证结果是你现在想要的。理想的是，漏洞评估应该定期进行，来检测和评估新的无线设备和配置的更改。还有，寻找可以使测试自动化的机会，让它们更快，更一致、更严格。不论你的公司是否运行或禁止的Wi-Fi，XX的“欺骗”访问点或者站点可能已经拜访了你的办公室。大多数WLAN的用户将消除欺骗性威胁列为重中之重。虽然监测欺骗性威胁相当容易，但是消除这些欺骗性威胁却是出乎意料的艰难。本文中TechTarget中国的特约专家系统地

11、描述了一种捕获欺骗性威胁的过程和工具，可以提供一定的帮助。 环境总经济价值环境使用价值环境非使用价值处理欺骗风险环境影响评价，是指对规划和建设项目实施后可能造成的环境影响进行分析、预测和评估，提出预防或者减轻不良环境影响的对策和措施，进行跟踪监测的方法和制度。发现未授权的接入点（AP）或者站点是非常普遍的，这些所谓的欺骗性威胁可能是来自邻居、销售商、客户、雇员或者恶意攻击者。处理这些欺骗性风险要求识别到信任的设备，这样你就可以减轻他人带来的威胁。由于无线攻击者可以迅速地造成破坏并转移，所以有必要对所有的新设备进行监测，并迅速作出反应。（四）建设项目环境影响评价的内容然而，在大型的无线局域网中有

12、效地处理欺骗性风险也是很重要的。用诸如NetStumbler之类的发现工具，对办公室进行抽查，这样需要太长的时间，并且没有作任何评价，也不会包含每个欺骗性威胁的潜在影响。高效率的风险处理需要用带有无线入侵监测系统（WIDS）的24x7无线电进行监测。这可以用无线局域网交换器实现，该交换器可以进行兼职扫描（比如，Airespace和Trapeze）；或者用专用的WIDS实现，该WIDS可以进行全职扫描（比如，AirDefense、AirMagnet、AirTight、Highwall、Network Chemistry）。一个良好的欺骗性工具包应当可以做比发出警报更多的事情它可以让你有权力调查欺

13、骗性威胁、隔离欺骗性物理地址、以及（在适当的时候）干扰欺骗性通信进行。同建设项目安全评价相关但又有不同的还有：地质灾害防治管理办法规定的地质灾害危险性评估，地震安全性评价管理条例中规定的地震安全性评价，中华人民共和国职业病防治法中规定的职业病危害预评价等。为了协助消除欺骗性威胁，你的工具箱也应该包括一个移动的无线局域网分析器。这些分析器可以从大部分WIDS经销商、WildPackets、TamoSoft和BVS等的第三方那里购买到，也可以从诸如Kismet和Ethereal等开源工具中获得。为了减少站点的压力，可以寻找输入/输出性能，让这些工具与你的WIDS共享数据。 （5）阐述划分评价单元的

14、原则、分析过程等。消除欺骗性威胁的策略（3）公众对规划实施所产生的环境影响的意见；既然你已经收集了合适的工具，那么接下来就应该制定一套有条不紊的方案来处理欺骗性威胁。这里列出了你的方案中应该包含的一些步骤：环境影响经济损益分析一般按以下四个步骤进行：1.创建一个无线设备的基线目录对现有的802.11设备进行调查接入点、站点和点对点结点用移动WLAN分析器浏览你的站点。每隔一定时间记录样本（例如，在建筑角落的每隔200英尺）。合并样本，记录每个设备的MAC地址、扩展服务集标识符（ESSID）、平均/峰值信噪比（SNR）、信道、安全状态和IP地址。站点可能会使用许多ESSID和信道，并依赖与之相关

15、的接入点。为远程邻居建立一个入口，然后使用移动分析器，用你办公室内部和紧邻的足够强大的信号追踪设备。尽力用足够的精度确定可能的拥有者和地址，进而进行分类。（6）环境影响评价结论的科学性。2.对所有发现的设备进行分类，并配置工具过滤目录，将其分为几个类别，通过不同地处理一些访问控制列表中的设备和安全警报策略，这样你就可以集中精力处理真正的威胁。虽然，你可能会让WIDS忽视了远程邻居，但是需要提醒你，注意设备和近邻之间的连接。无论移除还是将其标记为你的官方无线局域网的一部分，消除你办公室内部XX的设备。然后创建一个授权的接入点和站点列表，进而执行这些设备的策略。比如，对可能指示偶然重置或者MAC欺

16、骗的接入点设置进行监测。现在，准确的分类可以大大节省调查研究的时间。3. 监控新设备的无线网络和有线网络安装无线入侵检测系统，可以对你的无线局域网覆盖区进行略微监测，发现邻近或者外部的欺骗性威胁。WIDS不能监测到的小型或者远程办公室可以用移动分析仪进行随机抽查。如果你拥有无线IDS/IPS或者网络管理系统，也可以对它们进行配置，对欺骗性威胁进行监测比如，防止XX的MAC使用你的以太网交换机，或者侦查接入点无线局域网中的意外广播。最后，配置WIDS和移动分析仪警报装置，这样你就不会被误报所淹没。举例来说，WIDS自动对有线交换器的连通性进行跟踪，这样您就可以集中精力处理网络连接的欺骗威胁。 4

17、. 阻止研究调查中的潜在损害考虑使用WIDS的“遏制”功能，自动检测欺骗性威胁或者调查研究后进行手动检测。尽管性能不同，但是通过在欺骗性威胁的MAC地址中针对解除认证洪水，接入点或者站点通常可以临时打开你的无线局域网。中止最近的以太网交换端口，通常就可以削弱接入点与网络之间的连接。当你追捕到欺骗性威胁时，虽然遏制功能可以阻止其来带的破坏，但是，它也可能是破坏性的。确保在使用之前，了解清楚这些功能可以干什么尤其是自动遏制功能。比如，当连接到欺骗性接入点时，你可能很容易就会阻止你的站点。但是，避免阻止欺骗性威胁可能最终来自于你的邻居。5. 调查新设备，确定威胁大纲要求收集证据，弄清楚欺骗性行为是否

18、来自于邻居、访问者、雇员或者攻击者。甚至基本的性能都有帮助，比如SNR和ESSID。如果新的接入点看起来来自于隔壁的咖啡屋，那么打电话过去确认一下。除了连接性追踪，还要使用感应器或者移动分析仪捕获信息流，以确定欺骗性威胁使用的是哪个系统和应用程序。使用定位地图来预测欺骗性威胁的物理地址。虽然性能有所不同，但是，许多WIDS可以在平面图上突出显示某个区域，以减少搜索范围到20英尺，甚至更少的范围以内。6. 做出决定，并执行一个永久性措施使用你调查研究的成果，决定如何永久性处理欺骗性行为。虽然这涉及到政策、策略和进程，但是进行到此为止以及没有关于下一步工作的计划，这些将是毫无意义的。比如，在没有无知的雇员的允许下，你如何消除已经安装好的欺骗性威胁？如果一个恶意的欺骗性威胁已经留在了办公楼内，你如何保护自己，防止重复的运行该欺骗性威胁呢？如果这个欺骗性威胁是雇员所有的PDA，你是否有计划进行无线安全使用方面的教育呢？7. 更新你的设备清单，以反映出结果 你已经采取了永久性措施来消灭欺骗性威胁以后，跟新设备清单以及相关政策，这样将来就可以正确处理设备。如果你在调查期间中止了欺骗性威胁，那么确定现在是否要撤销。如果你不能够发现欺骗性威胁，使用“审查名单”，以在短时间内加快以后的反应或者增强该办公室的监测力度。